网络评论系统的秘密弱点暴露了煽动仇恨的政客

  • 栏目:星鸿科技 时间:2018-06-19

据报道,调查记者利用第三方网站评论服务中的一个加密弱点,揭露那些在右翼博客上留下攻击性言论的政客和其他瑞典公众人物。

至少从2009年开始,人们就一直在警告Gravatar (全球公认的化身的简称)所带来的隐私风险。那是当一个博主展示他能够破解幕后服务用来唯一识别其用户的加密哈希时。Gravatar散列通常嵌入在使用化身服务的数百万站点上留下的任何注释中,是通过MD5加密函数传递用户的电子邮件地址而生成的。通过使用相同的算法运行猜测的电子邮件地址,并等待与评论中找到的地址匹配的输出,可以识别作者,其中许多人认为他们是匿名发布的。IDG News周三发表的一篇文章指出,正是瑞典《快报》与一个调查性新闻集团合作,进行黑客攻击,揭露参与右翼论坛的公众人物。根据这篇文章的英文翻译: 是移民的仇恨把[和参与者联系在一起]。论坛的web评论宿主提供商Disqus在一篇简短的博客文章中说,它正在禁用Gravatar服务,并从Disqus平台上删除MD5散列的电子邮件地址。它还说,试图破解其服务所使用散列的人违反了其隐私准则。

也许吧。但是,鉴于Gravatar的下降弱点已经被人所知,令人惊讶的是,它仍然让一些人感到意外。除了这篇文章前面提到的2009年博客文章之外,7月份在拉斯维加斯举行的PasswordsCon会议也讨论了这个漏洞。安全研究员多米尼克·邦加德通过对攻击进行升级改造,得以在法国主办的在线论坛上,将鼓吹种族仇恨和其他极端话题的参与者匿名化。国家允许对发表仇恨言论进行严厉的法律处罚,因此许多参与者经常试图匿名这样做。

不像你想象的那么难,人们经常认为像Gravatar使用的那种暴力破解散列是很难的。实际上,它通常只不过是一次点击练习。使用免费提供的Hashcat密码破解软件,Bongard能够进行高度智能的猜测,这大大减少了推断生成32个字符哈希的纯文本电子邮件地址所用的时间。猜测的一部分包含少量字符串,其中包含最受欢迎的电子邮件服务的名称,例如 @ Gmail . com、 @ Yahoo . com、和 @ hotmail . com。然后他将Hashcat编程为将所有可能的八个字符字符串附加到这些域名的左侧。这种技术使他能够识别出45 %的电子邮件地址,这些地址用于发表他在法国最著名的政治论坛之一中发现的评论。

破解哈希的简易性很大程度上是Gravatar使用MD5算法的结果。轻量级功能从一开始就设计得很快,只需要很少的计算资源。这意味着装有图形处理器的破解程序每秒可以循环数十亿次猜测,直到找到正确的猜测。如果Gravatar使用诸如bcrypt之类的较慢散列,或者可能在用户的电子邮件地址中添加加密盐,则破解将非常困难。gravatar被数百万网站使用,包括Github和StackExchange。(这也是Ars用户的一个选择,尽管Ars通过匿名代理运行它,所以它应该相对安全,Ars首席开发人员Lee Aylward说。)虽然与Gravatar一起工作的网站的大多数用户可能对其帐户名没有问题,但认为他们不能识别是错误的。有可能,将他们绑定到电子邮件地址并不难,至少在不使用匿名代理的网站上。

更新:在给Ars的电子邮件中,Bongard说,Gravatar对哈希破解的敏感性更多地来自服务工作的核心方式,而不是使用MD5算法的选择。“这就是为什么他们没有修好它,因为他们根本无法修好。”他写道。bongard还质疑了我在上面提出的一些可能的修复方法,这些方法使用户更难匿名化。他解释说:「在某些情况下,使用bcrypt 会给网站拥有者带来沉重负担。」请记住,他们的服务器现在必须进行昂贵的计算。此外,在像这篇文章中介绍的那种确认攻击中,新闻记者不是野蛮的强迫行为,而只是浏览一个可能的电子邮件地址的简短列表,这也没有多大帮助。他还质疑盐的使用。我不确定是谁“那可能行得通。”他说。像Ars这样的网站如何知道特定电子邮件地址的Gravatar盐?

邦加先生,我感激地站着纠正错误。

更新帖子以添加有关Ars的详细信息。

更多阅读

忘记动物名字的女人

星鸿科技 07-06
我们都被它们迷住了——那些漂亮的大脑扫描图像让我们觉得我们正处在科学解码我们思考方式的前沿。但是,一旦一项神经科学研究声称,当我们享...
查看全文

你手机的瑞士刀

星鸿科技 07-09
二进制(巧妙的命名方式!)是一个多工具,可以为您的手机提供强大的功能。它由两部分组成一个整体。每个部分都有两个端口。总而言之,二进制的阴......
查看全文

如何使API密钥不受源代码管理?

星鸿科技 06-19
这个问答是每周发布的一系列帖子的一部分,这些帖子强调了技术爱好者遇到的常见问题,并由100多个问答站点组成的免费社区网络StackExchange的用户回...
查看全文
返回全部新闻

Copyright © 2017 星鸿娱乐平台 版权所有